Conformidade LGPD

Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)

1. Nosso Compromisso com a LGPD

O Cargolys foi projetado com o principio de Privacy by Design. A proteção de dados pessoais esta integrada na arquitetura da plataforma desde sua concepção, nao sendo um recurso adicionado posteriormente.

Como operadores e controladores de dados, garantimos que todo tratamento de dados pessoais realizado em nossa plataforma esteja em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

2. Principios que Seguimos

Todo tratamento de dados na plataforma Cargolys observa os principios da LGPD:

Finalidade

Tratamento realizado para propositos legitimos, especificos e explicitos, informados ao titular.

Adequação

Compatibilidade do tratamento com as finalidades informadas ao titular.

Necessidade

Limitação do tratamento ao minimo necessario para a realização de suas finalidades.

Transparência

Informações claras, precisas e acessiveis sobre o tratamento e os respectivos agentes.

Segurança

Medidas tecnicas e administrativas aptas a proteger dados de acessos nao autorizados e situações acidentais.

Prevenção

Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

3. Dados Sensiveis: Biometria Facial

A plataforma Cargolys utiliza dados biometricos faciais para verificação de identidade de motoristas. Por se tratarem de dados sensiveis (Art. 11, LGPD), adotamos medidas reforçadas:

  • Consentimento explicito: obtido de forma livre, informada e inequivoca antes da coleta.
  • Finalidade especifica: utilizado exclusivamente para verificação de identidade e aptidão do motorista.
  • Criptografia reforçada: dados biometricos criptografados com AES-256 em repouso e em transito.
  • Acesso restrito: apenas processos automatizados de verificação acessam os dados biometricos.
  • Eliminação sob demanda: o titular pode solicitar exclusão dos dados biometricos a qualquer momento.

4. Direitos dos Titulares

A plataforma Cargolys fornece ferramentas para que os titulares exerçam seus direitos previstos no Art. 18 da LGPD:

  • Acesso (Art. 18, II): exportação de dados pessoais em formato legivel.
  • Correção (Art. 18, III): atualização de dados diretamente na plataforma ou via solicitação.
  • Anonimização/Eliminação (Art. 18, IV): solicitação de remoção de dados desnecessarios.
  • Portabilidade (Art. 18, V): exportação de dados em formato estruturado (JSON/CSV).
  • Informação (Art. 18, VII): relatorio de entidades com quem dados sao compartilhados.
  • Revogação (Art. 18, IX): revogação de consentimento a qualquer momento.

Solicitações sao processadas em ate 15 dias uteis, conforme previsto na legislação.

5. Medidas Tecnicas de Proteção

Implementamos as seguintes medidas tecnicas em conformidade com o Art. 46 da LGPD:

  • Criptografia end-to-end (AES-256 + TLS 1.3).
  • Controle de acesso baseado em funcoes (RBAC) com autenticação multifator.
  • Registros de auditoria (logs) de todos os acessos a dados pessoais.
  • Pseudonimização e anonimização de dados quando aplicavel.
  • Testes de segurança periodicos (pentests) e avaliações de vulnerabilidade.
  • Plano de resposta a incidentes de segurança com notificação a ANPD.
  • Backups criptografados com politica de retenção definida.
  • Segregação de ambientes (produção, homologação, desenvolvimento).

6. Relatorio de Impacto a Proteção de Dados (RIPD)

Mantemos um Relatorio de Impacto a Proteção de Dados Pessoais atualizado, conforme Art. 38 da LGPD, que contempla:

  • Descrição dos processos de tratamento de dados pessoais.
  • Avaliação de necessidade e proporcionalidade do tratamento.
  • Identificação e analise de riscos aos titulares.
  • Medidas, salvaguardas e mecanismos de mitigação de riscos.

O RIPD esta disponivel para a Autoridade Nacional de Proteção de Dados (ANPD) sob demanda.

7. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos comprometemos a:

  • Comunicar a ANPD em prazo razoavel, conforme Art. 48 da LGPD.
  • Notificar os titulares afetados sobre a natureza dos dados comprometidos.
  • Detalhar as medidas tecnicas adotadas para mitigação e correção.
  • Indicar os riscos relacionados ao incidente e as medidas tomadas.

8. Encarregado de Proteção de Dados (DPO)

Conforme Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados responsavel por:

  • Aceitar reclamações e comunicações dos titulares e da ANPD.
  • Orientar funcionarios e contratados sobre praticas de proteção de dados.
  • Executar demais atribuições determinadas pelo controlador ou em normas complementares.

Encarregado de Proteção de Dados (DPO)

Quality Services Enterprise

Email: dpo@cargolys.com

Canal de Atendimento: privacy@cargolys.com

9. Cargolys como Operador de Dados

Quando o Cargolys atua como operador de dados em nome do cliente (controlador), firmamos um Acordo de Processamento de Dados (DPA) que define:

  • Finalidades e limites do tratamento.
  • Obrigações de confidencialidade.
  • Medidas de segurança aplicaveis.
  • Condições para subprocessamento.
  • Procedimentos para atendimento a solicitações de titulares.
  • Obrigações em caso de encerramento do contrato.