A OXXY.NET COMÉRCIO, CONSULTORIA E DESENVOLVIMENTO DE SOFTWARES LTDA (“OXXY.NET”), pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 10.627.803/0001-24, estabelecida na Rua Sete de Abril, número 404, conjunto 62, bairro República, São Paulo/SP, CEP: 01044-000, na qualidade de Controladora de Dados Pessoais, informa que trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) e ABNT NBR ISO/IEC 27701:2019, que estabelece requisitos para o Sistema de Gestão de Privacidade da Informação (extensão da ISO/IEC 27001 e 27002).
A OXXY.NET também observa, no que couber, as normas ABNT NBR ISO/IEC 27001 e 27002 aplicáveis à segurança da informação, governança e controles técnicos e organizacionais relacionados ao tratamento de dados pessoais.
1. DADOS PESSOAIS TRATADOS
Para fins de cadastro, autenticação, segurança e atendimento às normas dos DETRANs, poderão ser tratados, conforme o perfil do usuário:
I. nome completo;
II. CPF;
III. RG e data de nascimento (quando necessários para cadastro interno);
IV. e-mail e telefone de contato;
V. empresa à qual o usuário está vinculado e função;
VI. imagem do documento de identificação (quando exigido pelo DETRAN);
VII. foto, imagem e/ou vídeo para fins de biometria e registro de presença (quando exigido);
VIII. registros de acesso e uso do sistema (data, hora, IP e ações realizadas).
Os dados efetivamente solicitados e tratados poderão variar de acordo com o perfil do usuário, as exigências dos DETRANs e demais órgãos competentes, bem como com as obrigações contratuais e regulatórias aplicáveis.
2. FINALIDADES E BASES LEGAIS (LGPD, ARTS. 7º E 11)
Os dados são utilizados para:
a) cadastro e controle de acesso ao sistema;
b) identificação do vistoriador e vinculação segura às vistorias realizadas;
c) cumprimento de obrigações legais e regulatórias impostas pelos DETRANs e demais órgãos públicos;
d) segurança da informação, prevenção a fraudes e auditoria interna;
e) exercício regular de direitos em processos administrativos ou judiciais.
Cada uma das finalidades acima está respaldada em, ao menos, uma das bases legais previstas na LGPD, observada a compatibilidade entre a finalidade do tratamento e a respectiva hipótese autorizadora. Em linhas gerais: (i) as atividades de cadastro, autenticação e controle de acesso ao sistema (alínea “a”) e de identificação do vistoriador e vinculação às vistorias (alínea “b”) se vinculam, principalmente, à execução de contrato ou de procedimentos preliminares a contrato, bem como ao legítimo interesse do controlador; (ii) o atendimento às normas dos DETRANs e de demais órgãos públicos (alínea “c”) decorre de cumprimento de obrigação legal ou regulatória; (iii) as medidas de segurança da informação, prevenção a fraudes e auditoria interna (alínea “d”) se fundamentam no cumprimento de obrigações legais e regulatórias, no exercício regular de direitos e no legítimo interesse do controlador; e (iv) o exercício regular de direitos em processos administrativos ou judiciais (alínea “e”) tem base específica no art. 7º, VI, e art. 11, II, “d”, da LGPD.
As bases legais aplicáveis, nos termos dos arts. 7º e 11 da LGPD, incluem:
I. cumprimento de obrigação legal ou regulatória;
II. execução de contrato ou de procedimentos preliminares relacionados a contrato;
III. exercício regular de direitos;
IV. legítimo interesse do controlador, observado o equilíbrio com os direitos do titular;
V. para dados biométricos, também a prevenção à fraude e segurança do titular, além do cumprimento de obrigação legal/regulatória (art. 11, II, “a” e “g”).
O tratamento de dados pessoais descrito neste termo, em regra, não se fundamenta em consentimento do titular, mas nas bases legais acima indicadas, em especial obrigação legal e regulatória, execução de contrato, exercício regular de direitos e legítimo interesse do controlador. Caso, em situações específicas, seja necessário o uso do consentimento como base legal, o titular será devidamente informado e poderá manifestar-se de forma livre, informada e inequívoca, inclusive quanto às consequências de eventual negativa.
3. USO DE DADOS PARA MARKETING E PROPAGANDA
Sem prejuízo das finalidades descritas na Cláusula 2ª, a OXXY.NET não utilizará dados pessoais tratados no contexto deste sistema e/ou sob relação contratual com empresas clientes para fins de marketing, propaganda, prospecção comercial ou envio de comunicações promocionais, salvo quando:
I. houver consentimento prévio, livre, informado e inequívoco do titular, obtido por meio específico e destacado;
II. o consentimento for granular, permitindo a recusa sem qualquer prejuízo ao acesso, uso e continuidade do serviço;
III. for assegurada ao titular a possibilidade de revogação do consentimento a qualquer tempo, por procedimento simples e gratuito, com efeitos prospectivos;
IV. sejam respeitadas as preferências do titular quanto ao canal de comunicação e, quando aplicável, fornecido mecanismo de descadastramento (opt-out) funcional e imediato;
V. sejam observadas as demais exigências legais e regulatórias aplicáveis, inclusive quanto à documentação do consentimento, quando esta for a base legal empregada.
4. COMPARTILHAMENTO
Os dados poderão ser compartilhados, estritamente dentro das finalidades acima, com:
I. DETRANs e demais órgãos públicos competentes;
II. empresas clientes às quais o usuário esteja vinculado;
III. prestadores de serviços de tecnologia e hospedagem de dados;
IV. assessores jurídicos, contábeis e de auditoria, quando necessário.
V. Em caso de inclusão ou substituição de prestadores de serviços que atuem como subcontratados no tratamento de dados pessoais, a OXXY.NET informará previamente os clientes usuários deste sistema, por meio de aviso no próprio sistema ou por e-mail cadastrado, conferindo-lhes a possibilidade de oposição fundamentada à manutenção do tratamento pelo novo subcontratado, em conformidade com a ABNT NBR ISO/IEC 27701:2019.
IV. A OXXY.NET se compromete com a transparência sobre seus parceiros e fornecedores. Uma lista com as categorias dos prestadores de serviço que atuam como operadores de dados pessoais pode ser solicitada através do canal do Encarregado de Proteção de Dados (DPO), cujas informações de contato estão indicadas na Cláusula 5 deste termo.
Os dados pessoais poderão ser armazenados e tratados em provedores de serviços de tecnologia localizados no Brasil e/ou no exterior. Nessas hipóteses, a OXXY.NET observará as regras de transferência internacional de dados pessoais previstas na LGPD, adotando salvaguardas contratuais, técnicas e organizacionais adequadas, inclusive cláusulas específicas de proteção de dados e mecanismos de segurança compatíveis com a ABNT NBR ISO/IEC 27001, 27002 e 27701.
5. REGISTROS DE DIVULGAÇÃO DE DADOS PESSOAIS A TERCEIROS
A OXXY.NET manterá registros auditáveis acerca de toda divulgação/compartilhamento de dados pessoais a terceiros realizada no curso normal das operações, bem como de divulgações adicionais decorrentes de auditorias externas, investigações ou requisições por autoridades.
Os registros referidos acima conterão, no mínimo:
I. a categoria e/ou identificação dos dados pessoais divulgados (observado o princípio da minimização);
II. a identificação do terceiro destinatário (nome/razão social, CNPJ/identificador equivalente e, quando aplicável, país/jurisdição);
III. a data e hora da divulgação;
IV. a finalidade e a base legal/hipótese autorizadora aplicável;
V. a origem da solicitação (quando aplicável), incluindo a identificação da autoridade requisitante e o respectivo fundamento.
Os registros serão mantidos pelo prazo definido nos moldes previstos neste termo e poderão ser disponibilizados, em formato de evidência documental, quando necessários para demonstração de conformidade (compliance), auditoria e/ou atendimento de direitos do titular, observadas as limitações legais e de sigilo.
6. SOLICITAÇÕES E DIVULGAÇÕES LEGALMENTE OBRIGATÓRIAS
Na hipótese de recebimento de solicitação de divulgação de dados pessoais por autoridade pública, administrativa, policial ou judicial, a OXXY.NET observará o seguinte procedimento:
I. a OXXY.NET rejeitará solicitações que não sejam legalmente obrigatórias e/ou que não estejam amparadas em competência e forma legalmente adequadas;
II. quando a solicitação for legalmente obrigatória, a OXXY.NET notificará a empresa cliente relacionada ao tratamento (quando aplicável) acerca da requisição, em prazo razoável e por procedimento documentado, salvo se houver vedação legal de notificação (por exemplo, determinação de sigilo ou proibição de divulgação do evento);
III. sempre que permitido pela legislação e/ou pela ordem competente, a OXXY.NET consultará previamente a empresa cliente antes de realizar a divulgação, para alinhamento de escopo, minimização e definição de eventuais medidas complementares;
IV. a OXXY.NET aceitará solicitações de divulgação contratualmente acordadas, desde que autorizadas pela respectiva empresa cliente e compatíveis com as finalidades, bases legais e demais obrigações aplicáveis;
V. toda solicitação, resposta e divulgação realizada será registrada e vinculada aos registros previstos na Cláusula 5ª, com a preservação das evidências documentais correspondentes.
7. PRAZO DE GUARDA E SEGURANÇA (LGPD, ARTS. 37 E 46)
Os dados serão mantidos pelo tempo necessário:
I. ao cumprimento das normas dos DETRANs e demais legislações aplicáveis;
II. à comprovação das vistorias e operações realizadas;
III. à proteção de direitos em eventuais processos.
Após esse período, serão eliminados, anonimizados ou arquivados com acesso restrito, em linha com o art. 37 da LGPD (registro das operações) e com os controles de segurança previstos no art. 46 da LGPD e na ABNT NBR ISO/IEC 27701:2019.
Os períodos de retenção observarão, no mínimo: (i) os prazos legais e regulatórios aplicáveis às atividades de vistoria veicular e aos serviços relacionados; (ii) os prazos prescricionais de eventuais ações judiciais, administrativas ou arbitrais; e (iii) os critérios definidos na Política de Retenção e Descarte de Dados da OXXY.NET, que poderá ser disponibilizada ao titular mediante solicitação ao DPO. Enquanto mantidos, os dados serão protegidos por controles de segurança físicos, lógicos e organizacionais compatíveis com as boas práticas estabelecidas nas normas ABNT NBR ISO/IEC 27001, 27002 e 27701.
8. DIREITOS DO TITULAR (LGPD, ART. 18) E DPO (ART. 41)
O titular pode, a qualquer momento, solicitar:
I. confirmação de tratamento e acesso aos dados;
II. correção de dados incompletos, inexatos ou desatualizados;
III. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
IV. informações sobre compartilhamento de dados.
Observadas as limitações técnicas e jurídicas aplicáveis, o titular poderá, ainda, exercer os seguintes direitos previstos na LGPD:
V. portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comercial e industrial e a regulamentação da Autoridade Nacional de Proteção de Dados (ANPD);
VI. eliminação dos dados pessoais tratados com base em consentimento, quando o tratamento se fundar nessa hipótese e não houver outra base legal que autorize ou imponha a sua conservação;
VII. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, nos casos em que o tratamento tiver como fundamento o consentimento;
VIII. revogação do consentimento, quando aplicável, mediante manifestação expressa, por procedimento gratuito e facilitado, sem prejuízo da licitude do tratamento realizado até então;
IX. oposição ao tratamento de dados pessoais realizado com fundamento em legítimo interesse, em caso de descumprimento da LGPD, respeitadas as hipóteses legais de manutenção do tratamento;
X. solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou aspectos de sua personalidade, quando tais decisões vierem a ser adotadas.
Os pedidos devem ser enviados ao Encarregado de Proteção de Dados (DPO), nos termos do art. 41 da LGPD, pelo e-mail: [email protected] ou canal indicado em www.oxxynet.com.br
Sem prejuízo do atendimento pela OXXY.NET, o titular poderá, ainda, apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) acerca do tratamento de seus dados pessoais, nos termos da legislação aplicável.
9. DECLARAÇÃO DE CIÊNCIA
Declaro que li e estou ciente das informações acima sobre o tratamento dos meus dados pessoais pela OXXY.NET, para fins de cadastro, utilização do sistema, atendimento às normas dos DETRANs, segurança, auditoria e conformidade com a LGPD e a ABNT NBR ISO/IEC 27701:2019.
Declaro, ainda, estar ciente de que posso exercer, a qualquer tempo, os direitos previstos na LGPD por meio dos canais indicados neste termo, bem como de que o tratamento dos meus dados pessoais se fundamenta nas hipóteses legais aqui descritas, e não, em regra, em consentimento, salvo nas situações específicas em que este vier a ser expressamente solicitado.