Política de privacidade - CiX Citizen Experience

Política de Privacidade

CIX CITIZEN EXPERIENCE S/A

A CIX CITIZEN EXPERIENCE S/A, doravante denominado como “CIX”, atua tanto como Controladora de Dados quanto como Operadora de Dados, comprometendo-se a proteger a privacidade e os direitos dos titulares de dados pessoais, de acordo com as disposições da Lei Geral de Proteção de Dados (LGPD, Lei Federal 13.709/2018) e demais normas aplicáveis.

Somos uma empresa que nasceu do desejo de transformar e facilitar a vida do cidadão, entregando dignidade e cidadania por meio de soluções e serviços que modernizam e simplificam a experiência do cidadão junto ao poder público.

Nossa atuação é por meio de contratos administrativos, incluindo parcerias público-privadas (PPPs), que permitem ao poder público a contratação de serviços completos de atendimento. Esses serviços envolvem a implementação, operação, gestão e manutenção de unidades de atendimento ao cidadão, plataformas digitais, sistemas de agendamento, suporte ao usuário e demais atividades previstas nos contratos firmados (“Serviços”).

Temos como compromisso a proteção dos seus dados pessoais. Por isso, adotamos padrões elevados de segurança, alinhados às melhores práticas nacionais e internacionais, em conformidade com a legislação vigente, incluindo a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) e a Lei Federal nº 12.965/2014 (Marco Civil da Internet – MCI).

Com o objetivo de manter uma relação transparente e de confiança com cidadãos e parceiros, apresentamos esta Política de Privacidade (“Política”), que descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais tratados no âmbito dos nossos Serviços, em conformidade com a LGPD e demais normas aplicáveis.

1.DEFINIÇÕES

Para os fins desta Política de Privacidade, os termos utilizados possuem o significado atribuído a eles pelo artigo 5º da Lei Geral de Proteção de Dados Pessoais (LGPD).

2.PAPEL DA CIX Citizen Experience

A CiX Citizen Experience poderá realizar o tratamento de dados pessoais na condição de controladora ou operadora, conforme o contexto e a natureza das atividades desenvolvidas.

Quando atuar como operadora de dados pessoais, a CiX realiza o tratamento das informações exclusivamente em nome e de acordo com as instruções do respectivo controlador. Nessas situações, recomendamos que você consulte atentamente a Política de Privacidade do controlador responsável, a fim de compreender como seus dados pessoais são tratados.

POLÍTICA DE COOKIES

Acreditamos na transparência e honestidade sobre como coletamos e utilizamos dados relativos a você. A presente Política de Cookies é aplicada a todos os produtos e serviços relacionados a esta política ou incorporados a ela por referência. Utilizamos cookies e tecnologias semelhantes, para coletar e utilizar dados como parte de nossos Serviços, conforme definidos na nossa Política de Privacidade.

Cookies são pequenos arquivos de texto que armazenam por um determinado período de tempo as atividades do usuário. Cookies armazenam seu histórico de navegação, bem como logins e senhas. É por causa deles que você pode acessar a sua conta sem precisar sempre digitar seus dados cadastrais novamente, pois o navegador utiliza os cookies e faz isso por você. Além de vários aspectos funcionais, os cookies também cumprem um excelente serviço em sistemas bastante conhecidos como o Google Drive, por exemplo.

Tecnologias Usadas

Operador de Dados Pessoais

A CiX atua majoritariamente como operadora de dados pessoais, realizando o tratamento das informações exclusivamente em nome e de acordo com as instruções dos entes públicos que contratam nossos Serviços.As atividades de tratamento de dados são orientadas por instruções formais do controlador, que podem estar previstas em contratos, acordos de tratamento de dados, documentações técnicas das soluções implementadas, bem como em solicitações e diretrizes operacionais devidamente registradas.A CiX se compromete a seguir integralmente as instruções documentadas do controlador e a solicitar esclarecimentos sempre que identificar qualquer orientação que possa ser incompatível com a legislação de proteção de dados pessoais, em especial a Lei Geral de Proteção de Dados Pessoais (LGPD), ou com as normas de segurança da informação aplicáveis.Para mais informações sobre nossas parcerias com entes públicos, acesse a página Governos em nosso site:https://cixbrasil.com/para-governos/

Controlador de Dados Pessoais

Em algumas situações, a CiX atua como controladora de dados pessoais. Isso ocorre em atividades necessárias para o funcionamento regular da empresa, como a gestão de contratos, processos de recrutamento e seleção, análise e contratação de fornecedores, administração de prestadores de serviços e execução de projetos sociais.

3. DADOS PESSOAIS TRATADOS E SUAS FINALIDADES

A seguir, informamos a Você os tipos de dados pessoais que tratamos na realização dos nossos Serviços e para quais finalidades esses dados são utilizados.

Quando Você utiliza os Serviços administrados pela CiX, podemos coletar e tratar dados pessoais como nome, nome social, sexo, data de nascimento, naturalidade, nacionalidade, filiação, documentos de identificação e respectivas cópias, informações de contato, imagens e gravações, fotografia, assinatura digital, dados financeiros, dados de meios de pagamento e dados econômicos.

Em algumas situações, também podem ser tratados antecedentes criminais e, quando necessário para a prestação dos Serviços, dados pessoais sensíveis, como informações sobre origem racial ou étnica, dados de saúde e dados biométricos.

Em casos específicos, como atendimentos a crianças, pessoas com deficiência ou em situações de falhas técnicas, pode ser necessária a coleta de impressão digital física, que será digitalizada e encaminhada ao sistema do órgão competente.

Esses dados são utilizados para viabilizar a prestação regular dos Serviços contratados pelos entes públicos, garantir a segurança do ambiente e das pessoas, prevenir fraudes e possibilitar o exercício regular de direitos em processos administrativos ou judiciais.

Quando Você acessa Serviços digitais operados pela CiX para entes públicos, após a autenticação, podem ser coletados dados pessoais como nome, CPF, telefone e e-mail, provenientes do cadastro do usuário.

Também podem ser registradas as interações realizadas nos sistemas, com a finalidade de permitir a segmentação e o envio de comunicações educativas por e-mail ou SMS, com o objetivo de orientar o cidadão na utilização dos Serviços.

Caso o atendimento ocorra por meio de assistentes virtuais, as mensagens trocadas poderão ser armazenadas, juntamente com informações como nome, telefone e imagem de perfil. Se o usuário compartilhar dados pessoais sensíveis, essas informações permanecerão registradas no histórico da conversa.

Quando Você atua como representante de um ente público que é cliente da CiX, podem ser tratados dados pessoais como nome, documentos de identificação, informações de contato, imagens e gravações.

Esses dados são utilizados para viabilizar a prestação regular dos serviços contratados e para garantir a segurança do ambiente.

Quando Você atua como representante de prestadores de serviços ou fornecedores, a CiX pode tratar dados pessoais como nome, documentos de identificação, informações de contato, dados financeiros ou econômicos, imagens ou gravações e, quando aplicável, dados biométricos para controle de acesso a ambientes protegidos.

Esses dados são utilizados para a gestão dos contratos com os respectivos prestadores de serviços e fornecedores, bem como para garantir a segurança do ambiente e o controle de acesso em locais que exigem identificação biométrica.

Para a realização de análises reputacionais de fornecedores, a CiX pode tratar dados pessoais como nome, documentos de identificação, informações de contato dos sócios, além de informações públicas, como registros em processos judiciais, menções em mídias e dados financeiros ou econômicos.

Esses dados são utilizados exclusivamente para verificar a idoneidade e a conformidade dos fornecedores.

A CiX pode realizar iniciativas sociais, como cursos e oficinas, em parceria com instituições. Para viabilizar essas ações, podem ser tratados dados pessoais fornecidos pelas entidades parceiras, incluindo nome, documentos de identificação, data de nascimento e endereço dos participantes e, quando aplicável, de seus responsáveis legais.

Esses dados são utilizados exclusivamente para a organização das atividades, controle de presença e emissão de certificados.

A CiX pode coletar dados pessoais em eventos com a finalidade de relacionamento comercial, incluindo geração de leads e participação em sorteios.

Essa coleta pode ocorrer por meio de formulários digitais disponibilizados via QR Code ou por meio de listas de participantes fornecidas pelas organizadoras dos eventos, contendo informações como nome, cargo, contato, empresa e assunto de interesse.

4. COMPARTILHAMENTO DOS SEUS DADOS COM TERCEIROS

Para a CiX, é importante que Você saiba com quem seus dados podem ser compartilhados, em quais situações e para quais finalidades.

Assim, suas informações podem ser compartilhadas com os seguintes terceiros:

Clientes: podemos compartilhar dados pessoais com nossos clientes, no âmbito dos Serviços contratados pelos entes públicos, inclusive quando necessário para auditoria de atendimentos. Conforme já mencionado nesta Política, na prestação dos nossos Serviços atuamos, em regra, como operadores de dados pessoais, realizando o tratamento exclusivamente em nome e de acordo com as instruções dos controladores. O compartilhamento de dados ocorre sempre com base em diretrizes formais, previstas em contratos, acordos específicos de tratamento de dados ou orientações e autorizações devidamente documentadas. Caso identifiquemos qualquer orientação que possa ser incompatível com a legislação de proteção de dados pessoais, solicitaremos esclarecimentos ao respectivo controlador antes de dar continuidade ao tratamento.

Órgãos públicos e autoridades competentes: podemos compartilhar seus dados pessoais quando necessário para o cumprimento de obrigações legais ou regulatórias, para atendimento a ordens judiciais ou para colaboração em investigações oficiais, sempre nos limites da legislação aplicável.

Parceiros comerciais: para viabilizar a execução dos nossos Serviços e garantir a qualidade das soluções oferecidas, podemos compartilhar dados pessoais com parceiros estratégicos que atuam em atividades como desenvolvimento de sistemas, validação de identidade, automação de processos, suporte técnico e infraestrutura tecnológica.

Esses parceiros realizam o tratamento de dados em conformidade com a legislação aplicável e observando padrões adequados de segurança. Quando necessário, poderão ser utilizados serviços de armazenamento em nuvem ou de processamento de dados fora do território nacional, sempre em conformidade com os requisitos da LGPD. Destacamos que o cumprimento das normas de proteção de dados pessoais é um dos principais critérios considerados nos nossos processos de avaliação e contratação de fornecedores.

Empresas do grupo econômico e terceiros envolvidos em operações societárias: podemos compartilhar seus dados pessoais com outras empresas do nosso grupo econômico, quando aplicável, bem como em situações que envolvam operações como fusões, aquisições, reestruturações societárias ou alienação de ativos. Nesses casos, asseguramos a adoção de medidas adequadas para garantir a confidencialidade e a proteção dos dados pessoais, em conformidade com a legislação aplicável.

Buscamos adotar as medidas necessárias para garantir, na medida do possível, que os terceiros com quem compartilhamos dados pessoais observem a legislação de proteção de dados e implementem medidas técnicas e administrativas adequadas à segurança das informações.

Nas situações em que a CiX atua como operadora de dados pessoais e seja necessária a contratação de terceiros para apoiar a execução dos Serviços, seguiremos as disposições contratuais firmadas com o ente público, solicitando, quando exigido, autorização para a contratação de suboperadores.

5. ARMAZENAMENTO E EXCLUSÃO DOS SEUS DADOS PESSOAIS

O tempo de armazenamento e a exclusão dos seus dados pessoais podem variar de acordo com a finalidade que justifica o tratamento dessas informações.

Podemos manter os dados enquanto durar a relação contratual ou jurídica com o ente público. Após o encerramento dessa relação, ou quando não houver mais necessidade de utilização das informações, realizamos a transferência segura dos dados ao controlador e a exclusão definitiva, salvo nos casos em que a guarda seja exigida por obrigação legal ou regulatória ou esteja prevista contratualmente.

Também poderemos manter dados pessoais enquanto perdurar nossa relação comercial, contratual ou jurídica, para o cumprimento de obrigações legais e regulatórias ou para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, observando os prazos legais aplicáveis.

6. TRANSFERÊNCIA INTERNACIONAL DE DADOS

Durante o tratamento dos seus dados pessoais, e sempre para fins legítimos, a CiX poderá realizar transferências internacionais de dados, inclusive para países como União Europeia, Estados Unidos, Reino Unido e Índia.

Essas transferências podem ocorrer para a execução dos nossos Serviços, incluindo atividades de atendimento virtual ao cidadão, validação de identidade e viabilização de assinaturas eletrônicas com parceiros.

Também poderá ser necessária a transferência internacional para armazenamento de dados em servidores localizados fora do território nacional, inclusive em serviços de computação em nuvem que adotam padrões internacionais de segurança e proteção de dados pessoais.

As transferências são realizadas por meios eletrônicos e com a adoção de medidas e salvaguardas de segurança adequadas. Os dados permanecerão armazenados pelo tempo necessário para cumprir a finalidade do Serviço contratado, enquanto durar a relação comercial, contratual ou jurídica com Você, ou ainda para o cumprimento de obrigações legais e regulatórias e para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, observando os prazos legais aplicáveis.

A transferência internacional será realizada com base nos mecanismos legais previstos na LGPD e na Resolução CD/ANPD nº 19/2024, que aprovou o Regulamento de Transferência Internacional de Dados. Sempre que possível, a CiX adota as Cláusulas-Padrão Contratuais aprovadas pela ANPD (Anexo à Resolução CD/ANPD nº 19/2024), além de implementar medidas técnicas e organizacionais adequadas para garantir a proteção das informações.

Reforçamos que buscamos assegurar às suas informações o mesmo nível de proteção garantido pela LGPD, inclusive quando tratadas fora do território brasileiro. Ao concordar com esta Política, Você declara estar ciente de que o tratamento de seus dados pessoais poderá ocorrer fora do Brasil.

7. SEUS DIREITOS COMO TITULAR DE DADOS PESSOAIS

De acordo com a LGPD, Você possui direitos relacionados ao tratamento dos seus dados pessoais realizado pela CiX. Esses direitos podem ser exercidos por meio de solicitação enviada ao e-mail do nosso Encarregado de Proteção de Dados.

Quando a CiX atuar como controladora, as solicitações poderão ser atendidas diretamente por nós.

Já nas situações em que atuamos como operadora, no âmbito dos Serviços prestados a entes públicos, receberemos o pedido e o encaminharemos ao controlador responsável, recomendando que o titular também entre em contato diretamente com o respectivo ente público.

Todo o processo é conduzido com transparência e em conformidade com a LGPD:

Direito de confirmação do tratamento e de acesso (Art. 18, I e II da LGPD)

Você pode solicitar a confirmação sobre a existência de tratamento dos seus dados pessoais, bem como requerer acesso a essas informações.

Direito à retificação (Art. 18, III da LGPD)

Você pode solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados tratados pela CiX. Caso esses dados tenham sido compartilhados com terceiros, a CiX adotará medidas razoáveis para comunicar a atualização realizada.

Direito à anonimização, bloqueio, eliminação e oposição (Art. 18, § 2º da LGPD)

Quando os dados pessoais forem considerados desnecessários, excessivos ou tratados em desconformidade com esta Política ou com a legislação aplicável, Você poderá solicitar, quando cabível: (i) a anonimização dos dados; (ii) o bloqueio do tratamento; (iii) a eliminação dos dados pessoais; ou (iv) a oposição ao tratamento.

Direito de Portabilidade (Art. 18, V, da LGPD)

Você pode solicitar a portabilidade dos seus dados pessoais para outro controlador, conforme seu interesse, desde que não haja violação de propriedade intelectual ou de segredo de negócios da CiX. Informamos que esse direito ainda depende de regulamentação específica pela ANPD, razão pela qual somente poderá ser atendido após a definição dos critérios aplicáveis.

Direito de revogação do consentimento e eliminação dos dados tratados com base no consentimento (Art. 18, VI e IX da LGPD)

Quando o tratamento dos dados pessoais tiver como base legal o consentimento, Você poderá revogá-lo a qualquer momento, de forma livre, expressa e gratuita. A revogação não afeta a legalidade dos tratamentos realizados antes da sua solicitação. Ressaltamos que a revogação do consentimento não implica automaticamente a eliminação dos dados pessoais. Caso deseje a exclusão das informações tratadas com base no consentimento, será necessário realizar pedido específico de eliminação.

Direito à informação (Art. 18, VII e VIII da LGDP)

Você tem o direito de receber informações claras sobre: (i) a finalidade, a forma e a duração do tratamento realizado pela CiX; e (ii) o compartilhamento dos seus dados com entidades públicas ou privadas, incluindo as respectivas finalidades e responsabilidades dos agentes de tratamento envolvidos.

Direito de Petição à ANPD (Art. 18, § 1º da LGPD)

Você tem o direito de apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD) em relação ao tratamento dos seus dados pessoais realizado pela CiX.

Direito à Revisão de decisão automatizada (Art. 20 da LGPD)

Você pode solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado dos seus dados pessoais.

O exercício dos direitos deve ser solicitado de forma expressa pelo titular dos dados pessoais ou por seu representante legal. Para garantir a autenticidade da solicitação, a CiX poderá solicitar informações adicionais com a finalidade de confirmar a identidade do requerente e analisar o pedido. Em determinadas situações, poderá não ser possível atender integralmente à solicitação, especialmente quando houver obrigação legal ou regulatória de retenção dos dados ou quando a manutenção das informações for necessária para o exercício regular de direitos da CiX ou de terceiros. Nesses casos, o titular será devidamente informado, e permaneceremos à disposição para esclarecer eventuais dúvidas.

8. MEDIDAS TÉCNICAS E ADMINISTRATIVAS DE SEGURANÇA DOS DADOS

A segurança e a privacidade dos seus dados pessoais são prioridades para a CiX e fazem parte dos nossos valores.

Adotamos medidas técnicas e administrativas para proteger as informações tratadas, incluindo:

Aplicação dos princípios de privacy by design e privacy by default em nossos processos e sistemas;

Criptografia de dados e utilização de autenticação multifatorial;

Monitoramento contínuo dos sistemas;

Realização de testes e análises de segurança, incluindo testes de intrusão;

Restrição e controle de acesso a plataformas e ambientes de rede;

Uso de login individual com política de senha segura;

Acesso ao banco de dados por meio de VPN com monitoramento 24 horas;

Política de backup, monitoramento e recuperação de dados;

Treinamentos periódicos para colaboradores, com foco em proteção de dados e segurança da informação;

Auditorias internas e externas periódicas.

9. COMUNICAÇÃO COM O ENCARREGADO

O Encarregado de Proteção de Dados (DPO) da CiX é a MKR Consultoria, inscrita no CNPJ nº 04.144.981/0001-00.

Responsável: Marina Bendit

Substituta: Ludmyla Lavinsky

Para esclarecer dúvidas relacionadas a esta Política ou às operações de tratamento de dados pessoais realizadas pela CiX, bem como para exercer seus direitos previstos na LGPD, Você pode entrar em contato com o Encarregado pelo e-mail: dpo.privacidade@cixbrasil.com.

10. COOKIES

Nosso site pode coletar dados de navegação, como endereço IP, localização aproximada, país, tempo de navegação e tempo de acesso, além de informações geradas a partir da sua interação com o site por meio de cookies e tecnologias semelhantes.

Cookies são pequenos arquivos armazenados no seu computador ou dispositivo móvel durante a sua navegação. Eles nos ajudam a entender como o site é utilizado, identificar áreas que podem ser aprimoradas e oferecer uma experiência mais adequada ao usuário.

Você pode optar por aceitar ou recusar o uso de cookies por meio do pop-up exibido ao acessar o site ou pelas configurações do seu navegador. Caso desative os cookies, algumas funcionalidades poderão não operar conforme o esperado e a experiência de navegação poderá ser limitada.

a. COOKIES E TECNOLOGIAS SEMELHANTES QUE PODEMOS UTILIZAR NO SITE

Abaixo, apresentamos os tipos de cookies e tecnologias semelhantes que podem ser utilizados em nosso site. Quando houver coleta de dados pessoais por meio desses recursos, ela ocorrerá nos termos desta Política e da legislação aplicável.

Tipos de cookies:

Cookies necessários: são essenciais para o funcionamento do site. Permitem que a página opere corretamente e que funções básicas estejam disponíveis ao usuário.

Cookies de marketing: coletam informações sobre suas preferências e comportamento de navegação, possibilitando a personalização de anúncios e conteúdos.

Cookies funcionais: são utilizados para melhorar a experiência do usuário, lembrando preferências e ajustando funcionalidades adicionais do site.

b. Gerenciando os cookies e tecnologias semelhantes

Você pode aceitar ou recusar o uso de cookies a qualquer momento, por meio das configurações disponíveis no site da CiX ou diretamente no seu navegador. As instruções para ativar ou desativar cookies podem ser consultadas na seção de ajuda do seu navegador ou nos sites oficiais dos respectivos provedores, como:

Chrome; Firefox; Microsoft Edge; Opera; Safari.

11. CONTROLE DE ALTERAÇÕES NA POLÍTICA

Esta Política de Privacidade poderá ser alterada ou atualizada periodicamente, a fim de refletir de forma adequada as atividades de tratamento de dados pessoais realizadas pela CiX. Recomendamos que Você consulte este documento regularmente para se manter informado sobre as regras aplicáveis ao tratamento de dados pessoais. Esclarecemos que sites e serviços de terceiros são considerados ambientes externos, sobre os quais a CiX não possui controle, não sendo abrangidos por esta Política. Nesses casos, recomendamos a leitura da política de privacidade do respectivo site ou serviço.

Abaixo estão as informações sobre as versões e alterações desta Política.

Versão: Data: