Política de Privacidade: Solução Incognia


Última atualização: 14 de junho de 2022

A Incognia é uma empresa de identidade digital baseada em localização (para mobile) que visa trazer maior segurança e reduzir fraudes no uso de aplicativos e dispositivos conectados sem adicionar fricções durante a sua experiência de uso e ao mesmo tempo respeitando a sua privacidade, enquanto Usuário de nossos serviços. Acreditamos que ninguém precisa abrir mão da privacidade para ter conveniência e por isso preservar a sua privacidade e proteger seus dados pessoais faz parte dos nossos valores e missão.

Essa Política de Privacidade visa reforçar nosso compromisso com o tratamento de seus dados pessoais de acordo com as legislações de proteção de dados aplicáveis, principalmente a Lei Geral de Proteção de Dados Pessoais - “LGPD”, bem como explicar, de forma clara e transparente, como realizamos o tratamento de seus dados pessoais.

Para informações sobre como protegemos seus dados e sua privacidade de acordo com as leis de proteção de dados dos Estados Unidos da América e União Europeia, consulte nossa política internacional através desse link.

 

Glossário

Para fins desta Política de Privacidade, devem ser consideradas as seguintes definições:

  • Aplicativos: aplicativos e dispositivos conectados que possuem a solução Incognia embarcada, ou seja, o SDK da Incognia instalado.

  • Clientes: empresas digitais e de serviços desenvolvedoras dos Aplicativos.

  • Controlador: refere-se aos nossos Clientes, ou seja, os Desenvolvedores dos Aplicativos.

  • Dados Pessoais: quaisquer informações que direta ou indiretamente levem a sua identificação enquanto pessoa física.

  • Desenvolvedor do Aplicativo: empresa responsável pelo Aplicativo. Refere-se ao Cliente, Controlador.

  • Dispositivo: aparelho ou dispositivo móvel em que o Aplicativo está instalado.

  • LGPD: Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018. É a lei que regula o tema de proteção de dados pessoais no Brasil.

  • Operador: empresa contratada pelo Controlador para realizar tratamento de dados em seu nome e sob suas determinações. Refere-se à Incognia.

  • SDK: Software development kit  ou Módulo de Desenvolvimento de Software. É o módulo instalado nos Aplicativos de nossos Clientes para realização da coleta de dados.

  • Suboperador: refere-se a empresa que contratamos para armazenar seus dados coletados via SDK. A Amazon Web Services (“AWS - Amazon”) é a nossa Suboperadora.

  • Titular (es): refere-se a pessoa física “dona” dos dados pessoais, ou seja, a pessoa a quem os dados se referem. Refere-se a você, Usuário do Aplicativo e de nossos serviços.

  • Tratamento: toda operação realizada com seus dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

  • Usuário: pessoa física que baixa e instala o Aplicativo. É ao mesmo tempo usuário dos Aplicativos e usuário de nossos serviços. Refere-se a você, Titular dos dados pessoais.

Essas definições serão mencionadas ao longo desta Política com a inicial maiúscula e devem ser interpretadas em conjunto com as disposições da LGPD. Palavras e termos não definidos neste Glossário devem ter seu significado de acordo com o disposto na LGPD.

1. Como funciona a Solução da Incognia?

A partir da análise de dados de localização de dispositivos móveis, criamos padrões de comportamento dos Usuários. Estes padrões atuam como uma identidade privada anônima do Usuário e são utilizados para auxiliar processos de verificação e autenticação de identidade para Aplicativos em diversos segmentos da indústria. Além disso, a associação do padrão de comportamento de localização a dados sobre a integridade do dispositivo (root, localização falsa, aplicativos adquiridos em loja não oficial etc.) contribui ainda mais para a detecção de fraudes.

2. Como os dados pessoais são coletados?

Para oferecer nossos serviços, nós instalamos um Módulo de Desenvolvimento de Software (“SDK”) em Aplicativos mobile de nossos Clientes. Uma vez que você baixa e instala um Aplicativo que possui nosso SDK embarcado e fornece as devidas permissões de acesso (quando necessárias) seus dados passam a ser coletados e tratados por nós para trazer maior segurança durante o uso do Aplicativo, reduzindo a incidência de fraudes e, ao mesmo tempo, melhorando sua experiência através da redução de fricção durante o onboarding, login, transações e navegações no Aplicativo.

3. Quais dados pessoais são coletados?

Nós apenas coletamos e tratamos dados pessoais que são necessários para atingir as finalidades de tratamento relacionadas à segurança no uso dos Aplicativos e redução da incidência de fraudes.

Nós não coletamos quaisquer dados pessoais que possam te identificar diretamente como nome, CPF, RG, e-mail, etc. Nós também não coletamos quaisquer dados pessoais considerados sensíveis pela LGPD, ou seja, quaisquer informações que revelem sua origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Confira abaixo as categorias de dados pessoais que coletamos através do nosso SDK:

  • Dados de localização: informações de localização como GPS, sinais de wi-fi e sinais de bluetooth.

  • Dados identificadores do Dispositivo: refere-se às informações de identificação do seu aparelho no qual o Aplicativo está instalado. Ex: mad id (somente armazenado após aplicação de funções de hash com segredo).

  • Dados sobre o Dispositivo: são as informações relacionadas a seu aparelho, tais como modelo do Dispositivo, sistema operacional, versão do sistema operacional, entre outros.

  • Dados sobre aplicativos: são informações relacionadas ao Aplicativo, tais como como sessão do app e eventos definidos pelos Desenvolvedores de Aplicativo, como registro de novos Usuários, entre outros.

4. Quem são os donos dos dados pessoais coletados pela Incognia?

Os donos ou Titulares dos dados pessoais são os Usuários que baixam e instalam Aplicativos que possuem a nossa tecnologia embarcada (SDK instalado), concedendo as devidas permissões para compartilhamento de seus dados, quando aplicável.

5. A Incognia trata dados de crianças ou adolescentes?

Nós não realizamos a integração da tecnologia da Incognia com aplicativos direcionados especificamente a crianças/adolescentes, nem oferecemos serviços para empresas que tenham crianças/adolescentes como público-alvo. Portanto, não coletamos intencionalmente quaisquer dados pessoais de crianças ou adolescentes. Caso você seja um pai ou responsável e saiba que seu filho nos forneceu dados pessoais, por favor nos avise. Se descobrirmos que coletamos dados pessoais de crianças sem que nosso Cliente tenha verificado o consentimento de seus pais ou responsáveis, tomaremos as medidas necessárias para remover essas informações de nossos servidores e encerrar a parceria com esse Aplicativo, caso o problema não seja resolvido permanentemente.

6. Qual o papel desempenhado pela Incognia enquanto agente de tratamento?

Nós somos contratados pelos Desenvolvedores dos Aplicativos, nossos Clientes, para em seu nome e sob as determinações deles, realizar o tratamento de seus dados, enquanto Usuário, para fins de segurança e anti-fraude. Assim, nossos Clientes são os Controladores dos dados e nós atuamos como Operadora dos dados, segundo definições da LGPD.

7. Quais as finalidades de tratamento dos dados pessoais?

O tratamento de seus dados pessoais ocorre para atingir as finalidades determinadas pelo Controlador, quais sejam, prover maior segurança no uso do Aplicativo, evitar a incidência de fraudes e reduzir a fricção na sua experiência durante o uso do Aplicativo. Não utilizamos os dados coletados através da integração do nosso SDK com o Aplicativo para nenhuma finalidade que não aquelas relacionadas a prestação dos nossos serviços.

Abaixo listamos mais detalhadamente as finalidades a serem alcançadas com o tratamento de seus dados:

  • Verificação da integridade do dispositivo: através dos dados coletados nós verificamos se há alguma anomalia ou tentativa de forjar a localização do seu aparelho celular;

  • Verificação de endereços: verificamos se o endereço preenchido no momento de cadastro no Aplicativo confere com o endereço de moradia real;

  • Alerta sobre suspeita de roubo de conta: alertamos mudanças suspeitas no padrão de comportamento de localização (“Location Fingerprint”) que pode indicar um possível roubo de sua conta;

  • Verificação de locais confiáveis: verificamos se o usuário que está acessando o aplicativo está em um local confiável em momentos chave no app. Um exemplo de momento chave é o login, e essa verificação é feita com base em seu comportamento histórico.

  • Validação de transações dentro do Aplicativo: analisamos automaticamente o seu perfil comportamental para validar transações no Aplicativo com mais segurança.

Os dados coletados também são utilizados para fins de efeito de rede e para gerar inteligência e dados derivados visando o aprimoramento da Solução e maior precisão das análises antifraude. Ainda, os dados são tratados para fins de depuração e monitoramento do SDK com intuito de melhorá-lo visando o consumo de menos recursos (memória, rede, bateria etc.).

8. Qual a base legal que justifica o tratamento dos dados pessoais?

Conforme disposições da LGPD, cabe ao Controlador, nosso Cliente, a definição de qual a base legal mais adequada para justificar o tratamento dos dados pessoais.

9. Como e onde os dados pessoais são armazenados?

Armazenamos seus dados pessoais em servidores da Amazon Web Service (AWS Cloud) localizados nos Estados Unidos da América. Nós utilizamos protocolos seguros e com criptografia para proteger a transferência de dados para os nossos servidores. Vale ressaltar que os dados são hospedados em ambientes tecnológicos gerenciados única e exclusivamente pela Incognia por meio do uso de uma plataforma de nuvem pública fornecida pela AWS. O armazenamento em nuvem (cloud computing) é o padrão da indústria, pois simplifica a operação da tecnologia e aumenta o nível de segurança de todos os serviços que o utilizam. Além disso, nós temos controle restrito e granular sobre os dados que armazenamos na nuvem da AWS.

Utilizamos mecanismos de segurança tanto no transporte como no armazenamento de dados, além de atualizarmos constantemente nossos sistemas de proteção. Todas as requisições são feitas com versão segura de HTTPS, que é um protocolo seguro e padrão na indústria. Além disso, a nuvem da AWS fornece diversos recursos e serviços de segurança para aumentar a privacidade e controlar o acesso à rede, dentre eles: firewalls, criptografia (tanto para dados armazenados como em trânsito), defesa e resposta automática a ataques de DDoS, rastreamentos de segurança, backup, bem como monitoramento constante, registro de log das atividades e controle de acesso.

10. Por quanto tempo os dados pessoais são armazenados?

Armazenamos seus dados obtidos via SDK por um período máximo de 6 (seis) meses contados a partir da coleta. Após esse período, seus dados são eliminados de forma segura e definitiva. Excepcionalmente, podemos reter alguns dados por mais tempo para (i) cumprir contratos, acordos e políticas; (ii) cumprimento de obrigações legais ou regulatórias (por exemplo, se necessário para cumprir as leis aplicáveis); (iii) fins de auditoria; (iv) exercício regular de direitos em processos judiciais e administrativos.

11. A Incognia realiza decisões automatizadas?

Verificamos os processos de criação de contas ou de autenticação de ações nos Aplicativos, como logins e transações, para de forma automatizada fornecer ao Controlador um resultado de análise de risco ou validação de dados. Todavia, nós não adotamos qualquer decisão automatizada vez que todas as decisões relacionadas a você, a seus dados e ao uso que você faz do Aplicativo, são de única e exclusiva responsabilidade do Controlador.

12. Com quem a Incognia compartilha os dados pessoais coletados?

Seus dados pessoais coletados pelo nosso SDK são compartilhados com a Amazon Web Service (AWS Cloud), para fins exclusivos de armazenamento, conforme descrito no item 9.

Ainda, o resultado das nossas análises de risco também poderão ser compartilhados com o Controlador, Desenvolvedor dos Aplicativos, para fins de tomada de decisões relacionadas a segurança e anti-fraude. Ou seja, para análise de fraudes, compartilhamos com nosso Cliente informações coletadas sobre a integridade do seu dispositivo (root, localização falsa, informação sobre aquisição do aplicativo em loja não oficial etc.) e análise do padrão de comportamento (se o comportamento do Usuário é consistente ao longo do tempo e através de Dispositivos nos quais ele se registra, se possui algum histórico de fraude, etc). Nos casos de verificação eletrônica de endereço, enviamos uma agregação de contagem de localização numa pequena região em torno do endereço recebido do Aplicativo para confirmar a resposta, caso seja positiva. Todos os dados compartilhados com o Controlador estão associados a ID hasheados e que, portanto, não permitem que façamos sua identificação de forma direta.

Caso queira saber mais detalhadamente através de quais Aplicativos seus dados pessoais são coletados pela tecnologia da Incognia, você pode consultar as Políticas de Privacidade dos aplicativos instalados em seu Dispositivo. Por sermos um terceiro na relação entre Aplicativos e Usuários, não podemos expor nossos Clientes devido a questões de confidencialidade previstas em contratos e exigidas por essas empresas.

13. Os dados pessoais são transferidos para locais fora do Brasil?

Seus dados pessoais são armazenados em servidores da Amazon Web Service (AWS Cloud) localizados nos Estados Unidos da América. Nós utilizamos protocolo seguro para proteger a transferência de dados para os nossos servidores de forma criptografada. Para maiores detalhes, consulte nossa resposta no item 9.

14. Como a Incognia protege a privacidade e os dados pessoais?

  • Nós seguimos os 7 princípios fundamentais de Privacy by Design, como a base para criar e desenvolver nossas soluções, implementando a proteção da privacidade desde a concepção até a utilização final dos nossos produtos e soluções.

  • Utilizamos em nossa tecnologia técnicas como hash e criptografia e não atrelamos os dados de localização a qualquer dado de identificação direta, o que implica afirmar que os dados que tratamos são aproximados da sua anonimização total. Com isso, conseguimos fornecer nossas soluções sem nem mesmo saber quem é nosso Usuário.

  • Além da aplicação dessas técnicas para dificultar sua identificação, nós também adotamos as melhores práticas de segurança e medidas técnicas e administrativas para proteger seus dados e mitigar quaisquer riscos que possam impactar sua privacidade e seguimos todos os princípios e disposições da LGPD (como, por exemplo, a coleta somente de dados estritamente necessários e com uma finalidade determinada).

  • Só coletamos os dados de localização mediante a concessão da sua permissão de localização que pode ser gerenciada através das configurações do Aplicativo ou aparelho.

  • Não realizamos uma coleta contínua dos dados, e sim somente em momentos pontuais definidos de acordo com análises estatísticas e de inteligência da nossa solução.

Outros procedimentos de garantia de privacidade e proteção de seus dados são detalhados ao longo desta Política de Privacidade e você sempre pode contatar nosso Encarregado de Proteção de Dados/DPO (dpo@incognia.com) para saber mais detalhes sobre como protegemos a sua privacidade e seus dados pessoais.

15. Quais medidas de segurança são adotadas para proteger os dados pessoais?

A Incognia aplica uma série de medidas para proteger seus dados, tais como:

  • Não coleta ou associação de dados pessoais que possam diretamente te identificar;

  • Transporte e armazenamento seguro de dados utilizando criptografia e padrões da indústria.

  • Técnicas avançadas de criptografia e hash (com segredo), bem como técnicas de assinatura criptográfica, que permitem a detecção de quaisquer alterações realizadas nos dados recebidos via SDK.

  • Aplicamos técnica avançada de pseudonimização do Advertising ID (identificador de publicidade) dos Usuários, sendo que o dado original é removido da base e substituído por dados criptografados e hasheados.

  • Os identificadores mantidos (hashed ID) são suficientes para todos os serviços da Incognia e não permitem a identificação direta dos titulares de dados, além de reduzirem os riscos do identificador de publicidade identificá-lo em caso de confronto com uma base de dados terceira que contenha esse ID ligado a outros dados pessoais, tais como email, CPF etc. Portanto, em caso de vazamento ou acesso indevido às informações coletadas e tratadas pela Incognia, os titulares não serão diretamente associados a esses dados, reduzindo o risco de serem física ou moralmente afetados.

  • Realização periódica de pentestes via empresas terceirizadas;

  • Realização de auditorias regulares de terceiros para certificar nossos produtos de acordo com a certificação SOC 2 tipo II, que garante a segurança por parte da tecnologia da Incognia e um padrão internacional sobre sistemas de gerenciamento de riscos de cibersegurança. O SOC 2 é um relatório baseado nos Critérios de Serviços de Confiança (TSC) existentes do Conselho de Normas de Auditoria do Instituto Americano de Contadores Públicos Certificados (AICPA). O objetivo deste relatório é avaliar os sistemas de informação de uma organização relevantes para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Com isso, a Incognia possui medidas de segurança como monitoramento de risco, sistemas e de aplicação dos controles; gestão de ambiente e de acesso lógico e físico; canais de comunicação; mecanismos de mitigação e avaliação de riscos, gerenciamento de mudanças e outros.

16. Quais são seus direitos quanto aos seus dados pessoais?

Você tem uma série de direitos com relação aos seus dados pessoais. Esses direitos são disponibilizados pelo Controlador (desenvolvedores de Aplicativos, nossos Clientes), mas a Incognia, enquanto Operadora, adota todas as medidas para auxiliar o Controlador no cumprimento de sua obrigação de disponibilização dos seus direitos.

Em outras palavras, os seus direitos devem ser solicitados diretamente ao Controlador dos dados, que, por sua vez, nos encaminhará sua requisição de direito para que, se for o caso, adotemos as medidas cabíveis conforme instruções recebidas do Controlador. Todas as comunicações relacionadas aos seus direitos deverão ser feitas exclusivamente entre você e o Controlador.

Confira abaixo uma lista simplificada dos seus direitos, segundo disposições da LGPD:

  • Acesso à informação: As informações que coletamos sobre você estão descritas nessa Política. Outras informações podem ser solicitadas diretamente ao Controlador.

  • Confirmação do tratamento de dados pessoais: A confirmação do tratamento deverá ser solicitada diretamente ao Controlador, que nos encaminhará a sua requisição.

  • Acesso aos dados: Ao exercer o direito de acesso aos dados, perante o Controlador repassaremos a ele informações sobre os tipos e categorias de dados que temos sobre você, bem como as finalidades. A cópia eletrônica integral dos dados, no entanto, se aplica apenas quando o tratamento tiver origem no consentimento do Titular ou em contrato, e não no legítimo interesse, nos termos do art. 19, § 3º da LGPD.

  • Correção de dados incompletos, inexatos ou desatualizados: garantimos a exatidão, clareza, relevância e atualização dos dados pessoais coletados através da nossa tecnologia. Entretanto, caso considere que os dados pessoais tratados pela Incognia estão incompletos, inexatos ou desatualizados, poderá solicitar a retificação diretamente ao Controlador, que nos encaminhará sua requisição.

  • Anonimização, bloqueio, eliminação ou restrição de dados desnecessários, excessivos ou tratados em desconformidade com a lei: A Incognia trata apenas dados estritamente necessários para a prestação de seus serviços, observando todas as determinações da Lei Geral de Proteção de Dados e outras normas aplicáveis. No entanto, caso queira solicitar a anonimização, bloqueio, eliminação ou restrição de dados, entre em contato com o Controlador que avaliará a sua requisição e nos encaminhará a sua solicitação.

  • Portabilidade de dados: A Incognia desenvolveu sua tecnologia de localização proprietária de forma inovadora e não compatível com outras tecnologias de localização, por isso, não é possível exercer a portabilidade de dados da Incognia para outro fornecedor de serviço semelhante sem prejuízo dos segredos comercial e industrial da empresa, além de implicar em um esforço técnico desproporcional ao benefício que o Titular poderia vir a ter com a portabilidade desses dados. Além disso, a portabilidade de dados não se adequa ao serviço de antifraude, uma vez que quem contrata o serviço de prevenção à fraude é o Controlador (nossos Clientes), não o Titular. A portabilidade de dados para outro prestador de serviço de prevenção à fraude semelhante não surtiria efeito, posto que, caso este prestador semelhante não seja utilizado pelo Controlador, o usuário restaria impossibilitado de utilizar seu aplicativo. Ressaltamos que também não há qualquer regulamentação da Autoridade Nacional de Proteção de Dados para exercício desse direito, conforme determinação da LGPD.

  • Informação das entidades públicas e privadas com as quais a Incognia realizou uso compartilhado de dados: Informamos, no item 12 desta Política de Privacidade, a plataforma utilizada para armazenamento dos dados. Caso queira solicitar alguma informação adicional, entre em contato com o Controlador que nos repassará sua solicitação.

  • Revisão de decisões automatizadas e de não se submeter ao tratamento exclusivamente automatizado: A revisão de decisões automatizadas realizadas para fins de prevenção à fraude, já detalhada no item 11, deverá ser solicitada diretamente ao Controlador. Não realizamos decisões automatizadas em nome dos nossos Clientes.

  • Cópia integral dos dados; informação sobre negativa ao consentimento e consequências; revogação do consentimento (“opt-out”); direito à eliminação de dados tratados com o consentimento do usuário: Estes direitos se aplicam apenas ao tratamento de dados pessoais baseado no consentimento e devem ser solicitados diretamente ao Controlador.

17. Como contatar o DPO da Incognia?

Se tiver alguma dúvida, comentário ou sugestão, você pode entrar diretamente em contato com o nosso Encarregado pelo Tratamento de Dados Pessoais/DPO, enviando um email para dpo@incognia.com.

18. Alterações desta Política

Podemos atualizar e alterar os termos desta Política de Privacidade de tempos em tempos. Em nosso site, você sempre encontrará a versão mais recente e, caso queira, poderá acessar as versões anteriores registrando uma solicitação através de envio de e-mail para dpo@incognia.com.

 

INCOGNIA TECNOLOGIA DA INFORMAÇÃO LTDA.
CNPJ/MF sob o nº 17.399.938/0001-29
Endereço: Rua Cais do Apolo, n° 455, Galpão 000, Caixa Postal 006, bairro do Recife, Recife/PE, CEP 50.030-260.
Encarregada/DPO: Dayana Caroline Costa (dpo@incognia.com)