A OXXY.NET COMÉRCIO, CONSULTORIA E DESENVOLVIMENTO DE SOFTWARES LTDA (“OXXY.NET”), pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 10.627.803/0001-24, estabelecida na Rua Sete de Abril, número 404, conjunto 62, bairro República, São Paulo/SP, CEP: 01044-000, na qualidade de Controladora de Dados Pessoais, informa que trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) e ABNT NBR ISO/IEC 27701:2019, que estabelece requisitos para o Sistema de Gestão de Privacidade da Informação (extensão da ISO/IEC 27001 e 27002). A OXXY.NET também observa, no que couber, as normas ABNT NBR ISO/IEC 27001 e 27002 aplicáveis à segurança da informação, governança e controles técnicos e organizacionais relacionados ao tratamento de dados pessoais.
1. DADOS PESSOAIS TRATADOS
Para fins de cadastro, autenticação, segurança e atendimento às normas dos DETRANs, poderão ser tratados, conforme o perfil do usuário:
I. nome completo;
II. CPF;
III. RG e data de nascimento (quando necessários para cadastro interno);
IV. e-mail e telefone de contato;
V. empresa à qual o usuário está vinculado e função;
VI. imagem do documento de identificação (quando exigido pelo DETRAN);
VII. foto, imagem e/ou vídeo para fins de biometria e registro de presença (quando exigido);
VIII. registros de acesso e uso do sistema (data, hora, IP e ações realizadas).
Os dados efetivamente solicitados e tratados poderão variar de acordo com o perfil do usuário, as exigências dos DETRANs e demais órgãos competentes, bem como com as obrigações contratuais e regulatórias aplicáveis.
2. FINALIDADES E BASES LEGAIS (LGPD, ARTS. 7º E 11)
Os dados são utilizados para:
a) cadastro e controle de acesso ao sistema;
b) identificação do vistoriador e vinculação segura às vistorias realizadas;
c) cumprimento de obrigações legais e regulatórias impostas pelos DETRANs e demais órgãos públicos;
d) segurança da informação, prevenção a fraudes e auditoria interna;
e) exercício regular de direitos em processos administrativos ou judiciais.
Cada uma das finalidades acima está respaldada em, ao menos, uma das bases legais previstas na LGPD, observada a compatibilidade entre a finalidade do tratamento e a respectiva hipótese autorizadora. Em linhas gerais: (i) as atividades de cadastro, autenticação e controle de acesso ao sistema (alínea “a”) e de identificação do vistoriador e vinculação às vistorias (alínea “b”) se vinculam, principalmente, à execução de contrato ou de procedimentos preliminares a contrato, bem como ao legítimo interesse do controlador; (ii) o atendimento às normas dos DETRANs e de demais órgãos públicos (alínea “c”) decorre de cumprimento de obrigação legal ou regulatória; (iii) as medidas de segurança da informação, prevenção a fraudes e auditoria interna (alínea “d”) se fundamentam no cumprimento de obrigações legais e regulatórias, no exercício regular de direitos e no legítimo interesse do controlador; e (iv) o exercício regular de direitos em processos administrativos ou judiciais (alínea “e”) tem base específica no art. 7º, VI, e art. 11, II, “d”, da LGPD. As bases legais aplicáveis, nos termos dos arts. 7º e 11 da LGPD, incluem:
I. cumprimento de obrigação legal ou regulatória;
II. execução de contrato ou de procedimentos preliminares relacionados a contrato;
III. exercício regular de direitos;
IV. legítimo interesse do controlador, observado o equilíbrio com os direitos do titular;
V. para dados biométricos, também a prevenção à fraude e segurança do titular, além do cumprimento de obrigação legal/regulatória (art. 11, II, “a” e “g”).
O tratamento de dados pessoais descrito neste termo, em regra, não se fundamenta em consentimento do titular, mas nas bases legais acima indicadas, em especial obrigação legal e regulatória, execução de contrato, exercício regular de direitos e legítimo interesse do controlador. Caso, em situações específicas, seja necessário o uso do consentimento como base legal, o titular será devidamente informado e poderá manifestar-se de forma livre, informada e inequívoca, inclusive quanto às consequências de eventual negativa.
3. COMPARTILHAMENTO
Os dados poderão ser compartilhados, estritamente dentro das finalidades acima, com:
I. DETRANs e demais órgãos públicos competentes;
II. empresas clientes às quais o usuário esteja vinculado;
III. prestadores de serviços de tecnologia e hospedagem de dados;
IV. assessores jurídicos, contábeis e de auditoria, quando necessário.
V. Em caso de inclusão ou substituição de prestadores de serviços que atuem como subcontratados no tratamento de dados pessoais, a OXXY.NET informará previamente os clientes usuários deste sistema, por meio de aviso no próprio sistema ou por e-mail cadastrado, conferindo-lhes a possibilidade de oposição fundamentada à manutenção do tratamento pelo novo subcontratado, em conformidade com a ABNT NBR ISO/IEC 27701:2019.
VI. A OXXY.NET se compromete com a transparência sobre seus parceiros e fornecedores. Uma lista com as categorias dos prestadores de serviço que atuam como operadores de dados pessoais pode ser solicitada através do canal do Encarregado de Proteção de Dados (DPO), cujas informações de contato estão indicadas na Cláusula 5 deste termo.
Os dados pessoais poderão ser armazenados e tratados em provedores de serviços de tecnologia localizados no Brasil e/ou no exterior. Nessas hipóteses, a OXXY.NET observará as regras de transferência internacional de dados pessoais previstas na LGPD, adotando salvaguardas contratuais, técnicas e organizacionais adequadas, inclusive cláusulas específicas de proteção de dados e mecanismos de segurança compatíveis com a ABNT NBR ISO/IEC 27001, 27002 e 27701.
4. PRAZO DE GUARDA E SEGURANÇA (LGPD, ARTS. 37 E 46)
Os dados serão mantidos pelo tempo necessário:
I. ao cumprimento das normas dos DETRANs e demais legislações aplicáveis;
II. à comprovação das vistorias e operações realizadas;
III. à proteção de direitos em eventuais processos. Após esse período, serão eliminados, anonimizados ou arquivados com acesso restrito, em linha com o art. 37 da LGPD (registro das operações) e com os controles de segurança previstos no art. 46 da LGPD e na ABNT NBR ISO/IEC 27701:2019.
Os períodos de retenção observarão, no mínimo: (i) os prazos legais e regulatórios aplicáveis às atividades de vistoria veicular e aos serviços relacionados; (ii) os prazos prescricionais de eventuais ações judiciais, administrativas ou arbitrais; e (iii) os critérios definidos na Política de Retenção e Descarte de Dados da OXXY.NET, que poderá ser disponibilizada ao titular mediante solicitação ao DPO. Enquanto mantidos, os dados serão protegidos por controles de segurança físicos, lógicos e organizacionais compatíveis com as boas práticas estabelecidas nas normas ABNT NBR ISO/IEC 27001, 27002 e 27701.
5. DIREITOS DO TITULAR (LGPD, ART. 18) E DPO (ART. 41)
O titular pode, a qualquer momento, solicitar:
I. confirmação de tratamento e acesso aos dados;
II. correção de dados incompletos, inexatos ou desatualizados;
III. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
IV. informações sobre compartilhamento de dados. Observadas as limitações técnicas e jurídicas aplicáveis, o titular poderá, ainda, exercer os seguintes direitos previstos na LGPD:
V. portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comercial e industrial e a regulamentação da Autoridade Nacional de Proteção de Dados (ANPD);
VI. eliminação dos dados pessoais tratados com base em consentimento, quando o tratamento se fundar nessa hipótese e não houver outra base legal que autorize ou imponha a sua conservação;
VII. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, nos casos em que o tratamento tiver como fundamento o consentimento;
VIII. revogação do consentimento, quando aplicável, mediante manifestação expressa, por procedimento gratuito e facilitado, sem prejuízo da licitude do tratamento realizado até então;
IX. oposição ao tratamento de dados pessoais realizado com fundamento em legítimo interesse, em caso de descumprimento da LGPD, respeitadas as hipóteses legais de manutenção do tratamento;
X. solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou aspectos de sua personalidade, quando tais decisões vierem a ser adotadas.
Os pedidos devem ser enviados ao Encarregado de Proteção de Dados (DPO), nos termos do art. 41 da LGPD, pelo e-mail: [email protected] ou canal indicado em www.oxxynet.com.br Sem prejuízo do atendimento pela OXXY.NET, o titular poderá, ainda, apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) acerca do tratamento de seus dados pessoais, nos termos da legislação aplicável.
6. DECLARAÇÃO DE CIÊNCIA
Declaro que li e estou ciente das informações acima sobre o tratamento dos meus dados pessoais pela OXXY.NET, para fins de cadastro, utilização do sistema, atendimento às normas dos DETRANs, segurança, auditoria e conformidade com a LGPD e a ABNT NBR ISO/IEC 27701:2019.
Declaro, ainda, estar ciente de que posso exercer, a qualquer tempo, os direitos previstos na LGPD por meio dos canais indicados neste termo, bem como de que o tratamento dos meus dados pessoais se fundamenta nas hipóteses legais aqui descritas, e não, em regra, em consentimento, salvo nas situações específicas em que este vier a ser expressamente solicitado.