1. Objetivo
Esta Política de Tratamento de Dados tem como objetivo estabelecer diretrizes e procedimentos para o tratamento de dados pessoais pela CarFlux, em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e demais normas aplicáveis.
2. Definições
- Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável
- Dado Pessoal Sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, genético ou biométrico
- Tratamento: toda operação com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração
- Titular: pessoa natural a quem se referem os dados pessoais
- Controlador: pessoa a quem competem as decisões sobre o tratamento (CarFlux)
- Operador: pessoa que realiza o tratamento em nome do controlador
- Encarregado (DPO): pessoa responsável pela comunicação entre o controlador, os titulares e a ANPD
3. Princípios do Tratamento de Dados
A CarFlux adota os seguintes princípios no tratamento de dados:
- Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular
- Adequação: compatibilidade do tratamento com as finalidades informadas
- Necessidade: limitação ao mínimo necessário para a realização das finalidades
- Livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e duração do tratamento
- Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização
- Transparência: informações claras, precisas e acessíveis sobre o tratamento
- Segurança: medidas técnicas e administrativas para proteção contra acessos não autorizados
- Prevenção: adoção de medidas para prevenir danos
- Não discriminação: impossibilidade de tratamento para fins discriminatórios
- Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes
4. Ciclo de Vida dos Dados
4.1 Coleta
Coletamos apenas os dados necessários para as finalidades específicas. A coleta é realizada de forma transparente, com informações claras sobre o uso dos dados.
4.2 Processamento
Os dados são processados em ambientes seguros, com controles de acesso e monitoramento. Apenas colaboradores autorizados têm acesso aos dados pessoais.
4.3 Armazenamento
Dados são armazenados em servidores seguros com criptografia e backups regulares. O período de retenção varia conforme a finalidade e obrigações legais:
- Dados cadastrais: enquanto a conta estiver ativa + 5 anos após inativação
- Logs de consultas: 6 meses
- Dados financeiros: conforme legislação tributária (mínimo 5 anos)
- Dados para cumprimento legal: conforme exigência legal
4.4 Compartilhamento
Compartilhamos dados apenas quando necessário, com parceiros que atendem aos mesmos padrões de segurança e privacidade. Contratos específicos regulam o tratamento por terceiros.
4.5 Eliminação
Quando não mais necessários, os dados são eliminados de forma segura e irreversível. Logs de eliminação são mantidos para fins de auditoria.
5. Medidas de Segurança
Implementamos as seguintes medidas de segurança:
5.1 Medidas Técnicas
- Criptografia de dados em trânsito (TLS/SSL) e em repouso (AES-256)
- Autenticação multifator para acessos administrativos
- Firewalls e sistemas de detecção de intrusão
- Monitoramento contínuo de atividades suspeitas
- Backups regulares com testes de restauração
- Atualizações de segurança regulares
5.2 Medidas Organizacionais
- Política de controle de acesso baseada em função (RBAC)
- Treinamento regular de colaboradores sobre proteção de dados
- Termos de confidencialidade para todos os colaboradores
- Auditorias periódicas de segurança
- Plano de resposta a incidentes de segurança
- Avaliação de riscos e impacto à privacidade
6. Transferência Internacional de Dados
Caso haja transferência internacional de dados, garantimos que o país de destino oferece grau adequado de proteção ou que existem garantias contratuais apropriadas, em conformidade com a LGPD.
7. Incidentes de Segurança
Em caso de incidente de segurança que possa causar risco ou dano relevante aos titulares:
- Comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) em prazo adequado
- Notificaremos os titulares afetados sobre o incidente e medidas tomadas
- Tomaremos medidas imediatas para mitigar os danos
- Investigaremos as causas e implementaremos melhorias preventivas
8. Conformidade e Governança
A CarFlux mantém programa de governança de dados que inclui:
- Registro de operações de tratamento de dados
- Relatórios de impacto à proteção de dados (RIPD) quando necessário
- Revisões periódicas de políticas e procedimentos
- Canal de comunicação com o Encarregado (DPO)
- Mecanismos para atendimento de solicitações dos titulares
9. Atualizações da Política
Esta política é revisada periodicamente e atualizada conforme necessário para refletir mudanças nas práticas, tecnologias ou legislação aplicável.
10. Contato
Para questões sobre esta Política de Tratamento de Dados, entre em contato com nosso Encarregado de Proteção de Dados (DPO):
E-mail: dpo@carflux.com.br
WhatsApp: +55 44 98473-649